検出結果の詳細

Amazon GuardDuty コンソールでは、結果の概要セクションで結果の詳細を確認できます。検出結果の詳細は検出結果のタイプによって異なります。

検出結果にどのような情報が表示されるかを決める基本的な情報が 2 つあります。1 つ目はリソースタイプです。これは、Instance、AccessKey、S3Bucket、Kubernetes cluster、ECS cluster、Container、RDSDBInstance または Lambda です。情報の検出結果を決定する 2 つ目の詳細は [リソースロール] です。リソースロールは、アクセスキー用の Target である可能性があります。つまり、リソースが疑わしいアクティビティのターゲットであったことを意味します。インスタンスタイプの検出結果については、リソースロールが Actor である場合があります。つまり、リソースが不審なアクティビティを実行するアクターだったことを意味します。このトピックでは、検出結果の一般的に入手可能な詳細をいくつか説明します。

検出結果の概要

検出結果の概要のセクションには、次の情報を含む、検索条件の最も基本的な識別機能が含まれています。

• アカウント ID — AWS GuardDuty この結果の生成を促したアクティビティが行われたアカウントの ID。

• カウント — このパターンに一致するアクティビティをこの結果 ID GuardDuty に集約した回数。

• 作成時刻 - この検出結果が初めて生成された日時。この値が [Updated at] (更新時刻) と異なる場合は、そのアクティビティが複数回発生しており、現在も進行中の問題でありことを示しています。

  注記

  GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示され、JSON エクスポートと CLI 出力のタイムスタンプは UTC で表示されます。

• [Finding ID] (結果 ID) - この検出結果タイプおよびパラメータセットに対応する一意の識別子です。このパターンに一致するアクティビティが新しく出現した場合は、同じ ID に集約されます。

• [結果タイプ] - 検出結果をトリガーしたアクティビティのタイプを表す、書式設定された文字列。詳細については、「GuardDuty の検出結果の形式」を参照してください。

• リージョン — AWS 結果が生成されたリージョン。サポートされるリージョンについては、「リージョンとエンドポイント」を参照してください。

• リソース ID — AWS GuardDuty この結果の生成を促したアクティビティの対象となったリソースの ID。

• スキャン ID — GuardDuty Malware Protection が有効になっている場合の検出結果に適用され、侵害された可能性のある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームで実行されるマルウェアスキャンの識別子です。詳細については、「Malware Protection の検出結果詳細」を参照してください。

• 重要度 - [High] (高)、[Medium] (中)、[Low] (低) のいずれかで割り当てられた検出結果の重要度。詳細については、「 GuardDuty 調査結果の重要度レベル」を参照してください。

• 更新日 — GuardDuty この検出結果の生成を促したパターンと一致する新しいアクティビティで検出結果が最後に更新された日時。

リソース

影響を受けるリソースには、 AWS 開始アクティビティの対象となったリソースに関する詳細が表示されます。利用可能な情報は、リソースタイプとアクションタイプによって異なります。

リソースロール — AWS 調査を開始したリソースのロール。値は [TARGET] または [ACTOR] で、それぞれの値は、リソースが疑わしいアクティビティの対象であったか、疑わしいアクティビティを実行したアクターであったことを表します。

リソースタイプ - 該当するリソースのタイプ。複数のリソースが関係していた場合は、複数のリソースタイプが検出結果に含まれる可能性があります。リソースタイプは、インスタンス、S3 バケットAccessKey、ECS クラスタ、コンテナKubernetesCluster、RDSDB インスタンス、および Lambda です。リソースタイプによって、使用可能な検出結果の詳細が異なります。リソースオプションタブを選択して、そのリソースで使用可能な詳細について説明します。

Instance

インスタンスの詳細:

注記

インスタンスが既に停止している場合、またはクロスリージョン API コールを行うときに別のリージョンの EC2 インスタンスから基盤となる API コールが発生した場合、インスタンスの詳細が欠落することがあります。

• インスタンス ID — 結果の生成を促したアクティビティに関係する EC2 インスタンスの ID。 GuardDuty

• インスタンスタイプ - 検出結果に関連する EC2 インスタンスのタイプ。

• [起動時刻] - インスタンスが開始された日時

• アウトポスト ARN — のAmazon リソースネーム (ARN)。 AWS Outpostsインスタンスにのみ適用されます。 AWS Outposts 詳細については、「AWS Outpostsとは」を参照してください。

• [セキュリティグループ名] - 関連するインスタンスに付属するセキュリティグループの名前。

• [セキュリティグループ ID] - 関係するインスタンスに付属するセキュリティグループの ID。

• [インスタンスの状態]- ターゲットインスタンスの現在の状態。

• [アベイラビリティーゾーン] - 関連するインスタンスが配置されている AWS リージョンアベイラビリティーゾーン。

• [イメージ ID] - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID。

• [イメージの説明] - アクティビティに関連するインスタンスの構築に使用される Amazon マシンイメージの ID に関する説明。

• [タグ] - このリソースにアタッチされているタグのリスト。リストの形式は key:value です。

AccessKey

アクセスキーの詳細:

• アクセスキー ID — GuardDuty 結果の生成を促すアクティビティに参加したユーザーのアクセスキー ID。

• プリンシパル ID — GuardDuty 結果の生成を促すアクティビティに参加したユーザーのプリンシパル ID。

• ユーザータイプ — GuardDuty 結果の生成を促すアクティビティに参加したユーザーのタイプ。詳細については、「CloudTrail userIdentity 要素」を参照してください。

• ユーザー名 — GuardDuty 結果の生成を促すアクティビティに参加したユーザーの名前。

S3Bucket

Amazon S3 バケットの詳細

• [名前] - 検出結果に関連するバケットの名前。

• [ARN] – 検出結果に関連するバケットの ARN。

• [所有者] - 検出結果に関連するバケットを所有するユーザーの正規ユーザー ID。正規ユーザー ID の詳細については、「AWS アカウント ID」を参照してください。

• [タイプ] - バケット検出結果のタイプで、[送信先] または [ソース] になります。

• デフォルトのサーバー側暗号化 - バケットの暗号化に関する詳細。

• バケットタグ - このリソースにアタッチされたタグのリスト。リストの形式は key:value です。

• [有効な許可] - 関連するバケットが公開されているかどうかを示す、バケットに関するすべての有効な許可とポリシーの評価。値は [公開] または [非公開] です。

EKSCluster

Kubernetes クラスターの詳細:

• 名前 — Kubernetes クラスターの名前。

• ARN — クラスターを識別する ARN。

• 作成時刻 - このクラスターが生成された日時。

  注記

  GuardDuty コンソールの結果のタイムスタンプはローカルタイムゾーンで表示され、JSON エクスポートと CLI 出力のタイムスタンプは UTC で表示されます。

• VPC ID — クラスターに関連付けられている VPC ID。

• 状態 – クラスターの現在の状態。

• タグ - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、key:value 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。

  クラスタータグは、クラスターに関連付けられた他のリソースには伝達されません。

Kubernetes ワークロードの詳細:

• タイプ - ポッド、デプロイ、ジョブなどの Kubernetes ワークロードのタイプ。

• 名前 - Kubernetes ワークロードの名前。

• UID - Kubernetes ワークロードの固有の ID。

• 作成時刻 - このワークロードが生成された日時。

• ラベル - Kubernetes ワークロードにアタッチされたキーと値のペア。

• コンテナ - Kubernetes ワークロードの一部として実行されているコンテナの詳細。

• 名前空間 - ワークロードはこの Kubernetes 名前空間に属します。

• ボリューム - Kubernetes ワークロードが使用するボリューム。

  • ホストパス - ボリュームがマッピングされるホストマシン上の既存のファイルまたはディレクトリを示します。

  • 名前 - ボリュームの名前。

• ポッドセキュリティコンテキスト - ポッド内のすべてのコンテナの権限とアクセスコントロール設定を定義します。

• ホストネットワーク - ポッドが Kubernetes ワークロードに含まれている場合は true に設定します。

Kubernetes ユーザーの詳細

• グループ — 検出結果を生成したアクティビティに関与したユーザーの Kubernetes RBAC (ロールアクセスベースのコントロール) グループ。

• ID — Kubernetes ユーザーの固有の ID。

• ユーザー名 — 検出結果を生成したアクティビティに関係した Kubernetes ユーザーの名前。

• セッション名 — Kubernetes RBAC アクセス許可を持つ IAM ロールを引き受けたエンティティ。

ECSCluster

ECS クラスターの詳細

• ARN — クラスターを識別する ARN。

• 名前 - クラスターの名前。

• 状態 – クラスターの現在の状態。

• アクティブサービスの数 — ACTIVE 状態のクラスター内で実行されているサービスの数。これらのサービスは以下で表示できます。ListServices

• 登録されたコンテナインスタンス数 — クラスターに登録されているコンテナインスタンスの数。これには、ACTIVE および DRAINING 状態の両方のコンテナインスタンスが含まれます

• 実行中のタスク数 — RUNNING 状態のクラスターのタスクの数。

• タグ - クラスターに適用し、クラスターの分類と整理に役立つメタデータ。各タグは、key:value 形式でリストされているキーとオプションの値で構成されます。キーと値の両方を定義できます。

• コンテナ – タスクに関連付けられたコンテナの詳細:

  • コンテナ名 – コンテナの名前。

  • コンテナイメージ – コンテナのイメージ。

• タスクの詳細 — クラスター内のタスクの詳細。

  • ARN – タスクの Amazon リソースネーム (ARN)。

  • 定義 ARN – タスクを作成するタスク定義の Amazon リソースネーム(ARN)。

  • バージョン– タスクのバージョンカウンター。

  • タスクの作成時刻 – タスクが作成されたときの Unix タイムスタンプ。

  • タスクの開始時刻 – タスクが開始されたときの Unix タイムスタンプ。

  • タスクの開始ユーザー – タスクの開始時に指定されたタグ。

Container

コンテナの詳細:

• コンテナランタイム — コンテナの実行に使用されたコンテナランタイム (docker または containerd など)。

• ID — コンテナインスタンスのコンテナインスタンス ID または完全な ARN エントリ。

• 名前 — コンテナの名前。

  使用可能な場合、このフィールドには io.kubenetes.container.name ラベルの値が表示されます。

• イメージ — コンテナインスタンスのイメージ。

• ボリュームマウント — コンテナボリュームのマウントのリスト。コンテナは、そのファイルシステムの下にボリュームをマウントできます。

• セキュリティコンテキスト — コンテナセキュリティコンテキストは、コンテナの権限とアクセス制御設定を定義します。

• プロセスの詳細 — 検出結果に関連付けられているプロセスの詳細が記述されます。

RDSDBInstance

RDSDBInstance の詳細:

注記

このリソースは、データベースインスタンスに関連する RDS Protection の検出結果で利用できます。

• データベースインスタンス ID — GuardDuty 検索対象となったデータベースインスタンスに関連付けられている識別子。

• [Engine] (エンジン) — 検出に関与したデータベースインスタンスのデータベースエンジン名。指定できる値は、Aurora MySQL 互換または Aurora PostgreSQL 互換です。

• エンジンバージョン — GuardDuty 結果に含まれていたデータベースエンジンのバージョン。

• データベースクラスター ID — 結果に関係するデータベースインスタンス ID GuardDuty を含むデータベースクラスターの識別子。

• データベースインスタンス ARN — 結果に関係するデータベースインスタンスを識別する ARN。 GuardDuty

Lambda

Lambda 関数の詳細

• 関数名 - 検出結果に含まれた Lambda 関数の名前。

• 関数バージョン - 検出結果に含まれる Lambda 関数のバージョン。

• 関数の説明 - 検出結果に含まれた Lambda 関数の説明。

• 関数 ARN - 検出結果に含まれた Lambda 関数の Amazon リソースネーム (ARN)。

• リビジョン ID - Lambda 関数バージョンのリビジョン ID。

• ロール - 検出結果に関係する Lambda 関数の実行ロール。

• VPC 設定 - Lambda 関数に関連付けられた VPC ID、セキュリティグループ、サブネット ID を含む Amazon VPC 設定。

• VPC ID - 検出結果に含まれた Lambda 関数に関連付けられた Amazon VPC の ID。

• サブネット ID - Lambda 関数に関連付けられているサブネットの ID。

• セキュリティグループ - 関連する Lambda 関数にアタッチされたセキュリティグループ。これには、セキュリティグループ名とグループ ID が含まれます。

• タグ - このリソースにアタッチされているタグのリスト。リストの形式は key:value ペアです。

RDS データベース (DB) ユーザーの詳細

注記

このセクションは、で RDS 保護機能を有効にした場合の検出結果に適用されます。 GuardDuty詳細については、「GuardDuty RDS プロテクション」を参照してください。

GuardDuty この結果から、侵害された可能性のあるデータベースのユーザーおよび認証に関する以下の詳細がわかります。

• [User] (ユーザー) - 異常なログイン試行に使用されたユーザー名

• [Application] (アプリケーション) — 異常なログイン試行に使用されたアプリケーション名

• [Database] (データベース) — 異常なログイン試行に関与したデータベースインスタンスの名前

• [SSL] — ネットワークに使用された Secure Socket Layer (SSL) のバージョン

• [認証方法] — 検出に関与したユーザーが使用した認証方法

ランタイムモニタリングの調査結果の詳細

注記

これらの詳細情報は、 GuardDuty Runtime Monitoring の検出結果タイプのいずれかを生成した場合にのみ取得できます。

このセクションには、プロセスの詳細や必要なコンテキストなど、ランタイムの詳細が含まれています。プロセスの詳細には、観察されたプロセスに関する情報が記述され、ランタイムのコンテキストには、潜在的に疑わしいアクティビティに関する追加情報が記述されます。

プロセスの詳細

• 名前 - プロセスの名前。

• 実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。

• 実行可能ファイル SHA-256 - プロセスの実行可能ファイルの SHA256 ハッシュ。

• 名前空間 PID - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。

• 現在の作業ディレクトリ - プロセスの現在の作業ディレクトリ。

• プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。

• startTime - プロセスが開始された時間。これは UTC 日付文字列形式 (2023-03-22T19:37:20.168Z) です。

• UUID — によってプロセスに割り当てられた固有の ID。 GuardDuty

• 親 UUID - 親プロセスの固有の ID。この ID はによって親プロセスに割り当てられます。 GuardDuty

• ユーザー - プロセスを実行したユーザー。

• ユーザー ID - プロセスを実行したユーザーの ID。

• 有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。

• 系列 - プロセスの先祖に関する情報。

  • プロセス ID - オペレーティングシステムによってプロセスに割り当てられた ID。

  • UUID — によってプロセスに割り当てられた一意の ID。 GuardDuty

  • 実行可能ファイルのパス - プロセスの実行可能ファイルの絶対パス。

  • 有効なユーザー ID - イベント発生時のプロセスの有効な実効ユーザー ID。

  • 親 UUID - 親プロセスの固有の ID。この ID はによって親プロセスに割り当てられます。 GuardDuty

  • 開始時間 - プロセスが開始された時間。

  • 名前空間 PID - ホストレベルの PID 名前空間以外のセカンダリ PID 名前空間内のプロセスのプロセス ID。コンテナ内のプロセスの場合、コンテナ内で確認されるプロセス ID です。

  • ユーザー ID - プロセスを実行したユーザーのユーザー ID。

  • 名前 - プロセスの名前。

ランタイムのコンテキスト

次のフィールドから、生成された検出結果には、その検出結果タイプに関連するフィールドのみが含まれる場合があります。

• マウントソース - コンテナによってマウントされたホスト上のパス。

• マウントターゲット - ホストディレクトリにマッピングされているコンテナ内のパス。

• ファイルシステムタイプ - マウントされたファイルシステムのタイプを示します。

• フラグ - この検出結果に関係するイベントの動作をコントロールするオプションを示します。

• プロセスの変更 - 実行時にコンテナ内でバイナリ、スクリプト、またはライブラリを作成または変更したプロセスに関する情報。

• 修正日時 - 実行時にプロセスがコンテナ内のバイナリ、スクリプト、またはライブラリを作成または変更したときのタイムスタンプ。このフィールドは、UTC 日付文字列形式 (2023-03-22T19:37:20.168Z)です。

• ライブラリパス - ロードされた新しいライブラリへのパス。

• LD プリロード値 - LD_PRELOAD 環境変数の値。

• ソケットパス - アクセスされた Docker ソケットへのパス。

• Runc バイナリパス - runc バイナリへのパス。

• リリースエージェントパス - cgroup リリースエージェントファイルへのパス。

• コマンドラインの例 — 疑わしいと思われるアクティビティに関係するコマンドラインの例。

• ツールカテゴリ — ツールが属するカテゴリ。例としては、バックドアツール、ペンテストツール、ネットワークスキャナー、ネットワークスニファーなどがあります。

• ツール名 — 疑わしい可能性があるツールの名前。

• スクリプトパス — 結果を生成した実行済みスクリプトへのパス。

• 脅威ファイルパス — 脅威インテリジェンスの詳細が見つかった疑わしいパス。

• サービス名 — 無効になっているセキュリティサービスの名前。

EBS ボリュームのスキャンの詳細

注記

このセクションは、 GuardDuty-initiated 不正プログラムのスキャンインを有効にしたときの結果に適用されます。GuardDuty マルウェア対策

EBS ボリュームスキャンは、侵害された可能性のある EC2 インスタンスまたはコンテナワークロードにアタッチされた EBS ボリュームに関する詳細を提供します。

• スキャン — マルウェアスキャンの識別子。

• スキャン開始日 — マルウェアスキャンが開始された日時。

• スキャン完了日 — 不正プログラムのスキャンの完了日時。

• トリガ検索ID — GuardDuty この不正プログラム検索を開始した検出結果の検出ID。

• ソース – 可能な値は Bitdefender および AWS です。

• スキャン検出 — 各マルウェアスキャンの詳細と結果の全情報。

  • スキャンされたアイテム数 — スキャンされたファイルの合計数。totalGb、files、および volumes などの詳細を提供します。

  • 脅威が検出されたアイテム数 — スキャン中に検出された悪意のある files の合計数。

  • 最も重要度の高い脅威の詳細 — スキャン中に検出された、重要度が最も高い脅威の詳細と、悪意のあるファイルの数。severity、threatName、および count などの詳細を提供します。

  • 名前で検出された脅威 — すべての重要度レベルの脅威をグループ化するコンテナ要素。itemCount、uniqueThreatNameCount、shortened、および threatNames などの詳細を提供します。

Malware Protection の検出結果詳細

注記

このセクションは、 GuardDuty開始された不正プログラムのスキャンインをオンにした場合の検出結果に適用されます。GuardDuty マルウェア対策

Malware Protection スキャンでマルウェアが検出された場合は、https://console.aws.amazon.com/guardduty/ コンソールで「検出結果」のページで対応する結果を選択すると、スキャンの詳細を表示できます。マルウェア対策の結果の重大度は、検出結果の重大度によって異なります。 GuardDuty

注記

GuardDutyFindingDetected タグは、スナップショットにマルウェアが含まれていると指定します。

次の情報は、詳細パネルの「検出された脅威」セクションでご覧になれます。

• 名前 — 検出によってファイルをグループ化することによって取得された脅威の名前。

• 重要度 — 検出された脅威の重要度。

• ハッシュ – ファイルの SHA-256 ハッシュ。

• ファイルパス — EBS ボリューム内の悪意のあるファイルの場所。

• ファイル名 — 脅威が検出されたファイルの名前。

• ボリューム ARN — スキャンされた EBS ボリュームの ARN。

次の情報は、詳細パネルの「マルウェアスキャンの詳細」のセクションでご覧になれます。

• スキャン — 不正プログラムスキャンのスキャン ID。

• スキャン開始日 — スキャンが開始された日時。

• スキャン完了日 — スキャンの完了日時。

• スキャンされたファイル — スキャンされたファイルとディレクトリの合計数。

• スキャンされた合計 GB — プロセス中にスキャンされたストレージの容量。

• トリガー検出ID — GuardDuty このマルウェアスキャンを開始した検出結果の検出ID。

• 次の情報は、詳細パネルの「ボリュームの詳細」のセクションでご覧になれます。

  • ボリューム ARN — ボリュームの Amazon リソースネーム (ARN)。

  • SnapshotARN — EBS ボリュームのスナップショットの ARN。

  • ステータス — Running、Skipped、および Completed などのボリュームのスキャン状態。

  • 暗号化タイプ — ボリュームの暗号化に使用される暗号化のタイプ。例えば CMCMK です。

  • デバイス名 - デバイスの名前。例えば /dev/xvda です。

アクション

検出結果の [Action] (アクション) は、その検出をトリガーしたアクティビティのタイプに関する詳細を示します。利用可能な情報は、アクションタイプによって異なります。

[アクションタイプ] - 検出結果アクティビティのタイプ。この値は、NETWORK_CONNECTION、PORT_PROBE、DNS_REQUEST、AWS_API_CALL、RDS_LOGIN_ATTEMPT のいずれかになります。利用可能な情報は、アクションタイプによって異なります。

• NETWORK_CONNECTION - ネットワークトラフィックが識別済み EC2 インスタンスとリモートホスト間で交わされたことを示します。このアクションタイプには、次の追加情報が含まれています。

  • 接続方向 — GuardDuty 検出結果の生成を促したアクティビティで確認されたネットワーク接続方向。これには、次のいずれかの値を指定できます。

    • インバウンド - リモートホストがアカウントの識別済み EC2 インスタンスのローカルポートへの接続を開始したことを示します。

    • アウトバウンド - 識別済み EC2 インスタンスがリモートホストへの接続を開始したことを示します。

    • UNKNOWN — GuardDuty 接続の方向を特定できなかったことを示します。

  • プロトコル — GuardDuty 結果の生成を促したアクティビティで確認されたネットワーク接続プロトコル。

  • ローカル IP (ローカル IP) - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。

  • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

• PORT_PROBE - リモートホストが複数のオープンポートで識別済みの EC2 インスタンスを調査したことを示します。このアクションタイプには、次の追加情報が含まれています。

  • ローカル IP - 検出結果をトリガーしたトラフィックの元の送信元 IP アドレス。この情報を使用して、トラフィックが通過する中間レイヤーの IP アドレスと、検出結果をトリガーしたトラフィックの元の送信元 IP アドレスを区別します。例えば、EKS ポッドが実行されているインスタンスの IP アドレスではなく、EKS ポッドの IP アドレスです。

  • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

• DNS_REQUEST - 識別済みの EC2 インスタンスがドメイン名を照会したことを示します。このアクションタイプには、次の追加情報が含まれています。

  • プロトコル — GuardDuty 結果の生成を促したアクティビティで確認されたネットワーク接続プロトコル。

  • [ブロック] - ターゲットポートがブロックされているかどうかを示します。

• AWS_API_CALL - AWS API が呼び出されたことを示します。このアクションタイプには、次の追加情報が含まれています。

  • API — 呼び出され、 GuardDuty 結果を生成するように求められた API 操作の名前。

    注記

    これらのオペレーションは、 AWS CloudTrailによってキャプチャされる API 以外のイベントを含めることもできます。詳細については、「によってキャプチャされた非 API イベント」を参照してください。 CloudTrail

  • [ユーザーエージェント] – API リクエストを実行したユーザーエージェント。この値は、呼び出しが、 AWS サービス、 AWS SDK AWS Management Console、のいずれから行われたかを示します。 AWS CLI

  • エラーコード - API コールの失敗によって検出結果がトリガーされた場合、そのコールに対してエラーコードが表示されます。

  • サービス名 - 検出結果をトリガーした API コールを実行しようとしたサービスの DNS 名。

• RDS_LOGIN_ATTEMPT — 侵害された可能性のあるデータベースに、リモート IP アドレスからログインが試行されたことを示します。

  • [IP アドレス] — 疑わしいログイン試行に使用されたリモート IP アドレス。

アクターまたはターゲット

[リソースロール] が TARGET の場合には、検出結果に [アクター] セクションが表示されます。これは、リソースが疑わしいアクティビティの対象であったことを示します。また、[Actor] (アクター) セクションには、リソースを対象としたエンティティの詳細が含められます。

[リソースロール] が ACTOR の場合には、検出結果に [ターゲット] セクションが表示されます。これは、リソースがリモートホストに対する不審なアクティビティに関与していたことを示します。また、このセクションには、リソースのターゲットになった IP またはドメインに関する情報が含められます。

[アクター] セクションまたは [ターゲット] セクションには、次の情報を含めることができます。

• Affiliated — リモート API AWS 呼び出し元のアカウントがお客様の環境に関連しているかどうかに関する詳細情報。 GuardDuty この値が true の場合、API コール実行者は何らかの形でアカウントに関連しています。false の場合、API コール実行者は環境外です。

• リモートアカウント ID — 最終ネットワークのリソースへのアクセスに使用されたアウトバウンド IP アドレスを所有するアカウント ID。

• IP アドレス — GuardDuty 結果の生成を促したアクティビティに含まれる IP アドレス。

• 場所 — GuardDuty 結果の生成を促したアクティビティに関係する IP アドレスの位置情報。

• 組織 — GuardDuty 結果の生成を促したアクティビティに関係する IP アドレスの ISP 組織情報。

• ポート — GuardDuty 結果の生成を要求したアクティビティに関係するポート番号。

• ドメイン — GuardDuty 結果の生成を促したアクティビティに関係するドメイン。

• サフィックス付きのドメイン — GuardDuty 結果の生成を促す可能性のあるアクティビティに関係する 2 番目かつ最上位のドメイン。トップレベルドメインとセカンドレベルドメインのリストについては、「パブリックサフィックスリスト」を参照してください。

追加情報

すべての検出結果には [追加情報] セクションがあり、次のような情報が含まれます。

• 脅威リスト名 — GuardDuty 結果の生成を促したアクティビティに関係する IP アドレスまたはドメイン名を含む脅威リストの名前。

• サンプル - サンプル検出結果であるかどうかを示す true または false の値。

• アーカイブ - 検出結果がアーカイブ済みかどうかを示す true または false の値。

• [異常] - 履歴で確認されていないアクティビティの詳細 これらには、異常な (以前に確認されていない) ユーザー、場所、時間、バケット、ログイン動作、または ASN Org などが含まれます。

• 異常プロトコル — GuardDuty 検出結果の生成を要求したアクティビティに関係するネットワーク接続プロトコル。

• エージェント詳細 - AWS アカウントの EKS クラスターに現在導入されているセキュリティエージェントに関する詳細。これは EKS Runtime Monitoring の検出結果タイプにのみ適用されます。

  • エージェントバージョン — GuardDuty セキュリティエージェントのバージョン。

  • エージェント ID — GuardDuty セキュリティエージェントの固有識別子。

証拠

脅威インテリジェンスに基づく検出結果には [証拠] セクションがあり、次のような情報が含まれます。

• 脅威インテリジェンスの詳細 — Threat name 認識された脅威リストの名前です。

• 脅威名 — 脅威に関連するマルウェアファミリーの名前またはその他の識別子。

• 脅威ファイル SHA256 — 検出結果を生成したファイルの SHA256。

異常な動作

末尾ががの検出結果タイプは、 GuardDuty 検出結果が異常検出機械学習 (ML) AnomalousBehaviorモデルによって生成されたことを示します。機械学習モデルは、アカウントへのすべての API リクエストを評価し、相手が使用するタクティクスに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。

API リクエストのどの要素が、 CloudTrail リクエストを呼び出したユーザー ID にとって珍しいかについての詳細は、結果の詳細に記載されています。ID は CloudTrail userIdentity 要素によって定義され、指定できる値はRoot、、、、IAMUserAssumedRoleFederatedUserAWSAccount、またはです。AWSService

API GuardDuty アクティビティに関連するすべての結果の詳細に加え、AnomalousBehavior結果には次のセクションで説明する追加の詳細情報があります。これらの詳細はコンソールで表示でき、検出結果の JSON でも確認できます。

• 異常な API - 検出結果に関連付けられたプライマリ API リクエストに近いユーザーアイデンティティが原因の API リクエストのリスト。このペインでは、次の方法で API イベントの詳細をさらに分類します。

  • 最初にリストされている API はプライマリ API です。プライマリ API は、観測された最も高いリスクアクティビティに関連付けられた API リクエストです。これは、発見をトリガーし、検出結果タイプの攻撃ステージと相関する API です。これは、コンソールの [アクション] セクションおよび検出結果の JSON で詳述されている API でもあります。

  • リストされている他の API は、プライマリ API の近くで観察されるリストされたユーザーアインデンティティからの追加の異常 API です。リストに API が 1 つしかない場合、機械学習モデルはそのユーザーアイデンティティからの追加の API リクエストを異常として識別しませんでした。

  • API のリストは、API が正常に呼び出されたかどうかに基づいて分類され、API が正常に呼び出されなかった場合は、エラーレスポンスが受信されたことを意味します。受信したエラーレスポンスのタイプは、それぞれ正常に呼び出されなかった API の上に一覧表示されます。考えられるエラーレスポンスのタイプは、access denied、access denied exception、auth failure、instance limit exceeded、invalid permission - duplicate、invalid permission - not found、および operation not permitted です。

  • API は、関連するサービスによって分類されます。

  注記

  その他のコンテキストについては、[Historical APIs] (過去の API) を選択し、上位 API の詳細を確認します。通常は、ユーザーアイデンティティとアカウント内のユーザーすべての両方で表示される最大 20 個の API です。API は、[めったにない(月に 1 回未満)]、[頻繁でない(月に数回)]、または [頻繁(毎日から毎週)] でマークされ、アカウント内で使用されている頻度によって異なります。

• [Unusual Behavior (Account)] (異常な動作 (アカウント)) - このセクションでは、アカウントでプロファイリングされた動作に関する詳細について説明します。このパネルで追跡される情報は次のとおりです。

  • [ASN Org] (ASN 組織) - 異常な API コールが行われた ASN 組織

  • [ユーザー名] - 異常な API コールを行ったユーザーの名前。

  • ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

  • [ユーザータイプ] - 異常な API コールを行ったユーザーの名前。可能な値は、AWS_SERVICE、ASSUMED_ROLE、IAM_USER または ROLE です。

  • バケット — アクセスされている S3 バケットの名前。

• [Unusual Behavior (User Identity)] (異常な動作 (ユーザー ID)) - このセクションでは、検出に関与したユーザーアイデンティティのプロファイリングされた動作の詳細について説明します。ある行動が過去のものとして特定されない場合、 GuardDuty ML モデルはトレーニング期間中にこのユーザー ID がこの API 呼び出しを行うのをこれまで見たことがないということです。ユーザーアイデンティティ に関する詳細については、次を参照してください。

  • [ASN 組織] - 異常な API コールが行われた元の ASN 組織。

  • ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

  • バケット — アクセスされている S3 バケットの名前。

• [Unusual Behavior (Bucket)] (異常な動作 (バケット)) - このセクションでは、検出結果に関連する、S3 バケットのプロファイリングされた動作に関する詳細について説明します。ある行動が過去のものとして識別されない場合、 GuardDuty ML モデルはトレーニング期間中にこの方法でこのバケットに対して行われた API 呼び出しをこれまで見たことがないということです。このセクションで追跡される情報は次のとおりです。

  • [ASN 組織] - 異常な API コールが行われた元の ASN 組織。

  • [ユーザー名] - 異常な API コールを行ったユーザーの名前。

  • ユーザーエージェント - 異常な API コールを行うために使用されるユーザーエージェント。ユーザーエージェントは、aws-cli または Botocore などのコールを行うために使用されるメソッドです。

  • [ユーザータイプ] - 異常な API コールを行ったユーザーの名前。可能な値は、AWS_SERVICE、ASSUMED_ROLE、IAM_USER または ROLE です。

  注記

  過去の動作の詳細については、[異常な動作 (アカウント)]、[ユーザー ID]、または [バケット] セクションのいずれかで [過去の動作] を選択し、アカウント内での使用頻度に応じて、[頻度が低い (月に 1 回未満)]、[頻繁でない (月に数回)]、または [頻度が高い (毎日から毎週)] の各カテゴリーのアカウントで、想定される動作の詳細を表示します。

• 異常な動作 (データベース) - このセクションでは、検出結果に関連するデータベースインスタンスの、プロファイリングされた動作に関する詳細について説明します。ある行動が過去のものとして識別されない場合、 GuardDuty ML モデルはトレーニング期間中にこの方法でこのデータベースインスタンスへのログインを試みたことがないということです。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。

  • [User name] (ユーザー名) - 異常なログイン試行に使用されたユーザー名

  • [ASN Org] (ASN 組織) - 異常なログイン試行が行われた ASN 組織

  • [Application name] (アプリケーション名) — 異常なログイン試行に使用されたアプリケーション名

  • [データベース名] — 異常なログイン試行に関与したデータベースインスタンス名

  注記

  [履歴動作] セクションでは、関連するデータベースの [ユーザー名]、[ASN 組織]、[アプリケーション名]、[データベース名] について、以前に確認した内容について詳しく説明しています。固有の値にはそれぞれ、ログインが成功した際にその値が確認された回数を示すカウントが関連付けられています。

• 異常動作 (アカウント Kubernetes クラスター、Kubernetes 名前空間、 Kubernetes ユーザー名) - このセクションでは、検出結果に関連する、Kubernetes クラスターと名前空間の、プロファイリングされた動作に関する詳細を説明します。ある行動が過去のものとして識別されないということは、 GuardDuty ML モデルがこれまでにこのアカウント、クラスター、名前空間、またはユーザー名をこのように監視したことがないということです。検出結果パネルで追跡されるこのセクションの情報は次のとおりです。

  • ユーザー名 — 検出結果に関連付けられた Kubernetes API を呼び出したユーザー。

  • 偽装されたユーザー名 – username に偽装されているユーザー。

  • 名前空間 — アクションが発生した Amazon EKS クラスター内の Kubernetes 名前空間。

  • ユーザーエージェント — Kubernetes API コールに関連付けられたユーザーエージェント。ユーザーエージェントは、kubectl などのコールを行うために使用されるメソッドです。

  • API — Amazon EKS クラスター内で username によって呼び出される Kubernetes API。

  • ASN 情報 — この呼び出しを行うユーザーの IP アドレスに関連付けられた、組織や ISP などの ASN 情報。

  • 曜日 — Kubernetes API コールが行われた曜日。

  • アクセス権限 ¹ — username が Kubernetes API を使用できるかどうかのアクセスの確認を受ける Kubernetes の動詞とリソース。

  • サービスアカウント名¹ – ワークロードに ID を提供する Kubernetes ワークロードに関連付けられたサービスアカウント。

  • レジストリ¹ — Kubernetes ワークロードにデプロイした、コンテナイメージに関連付けられたコンテナレジストリ。

  • イメージ¹ — Kubernetes ワークロードにデプロイされた、関連するタグやダイジェストを含まないコンテナイメージ。

  • Image Prefix Config¹ — イメージを使用するコンテナの、hostNetwork または privileged などのコンテナとワークロードセキュリティ設定が有効になっているイメージプレフィックス。

  • サブジェクト名¹ — RoleBinding や ClusterRoleBinding 内の参照ロールにバインドされている user、group、serviceAccountName などのサブジェクト。

  • ロール名¹ — ロールまたは roleBinding API の作成や変更に関係するロールの名前。

S3 ボリュームベースの異常

このセクションでは、S3 ボリュームベースの異常についてのコンテキスト情報について詳しく説明します。ボリュームベースの検出結果 (Exfiltration:S3/AnomalousBehavior) は、ユーザーの S3 バケットに対する異常な数の S3 API コールをモニタリングし、データ漏えいの可能性を示します。以下の S3 の API 呼び出しは、ボリュームベースの異常検出のために監視されます。

• GetObject

• CopyObject.Read

• SelectObjectContent

以下のメトリクスは、IAM エンティティが S3 バケットにアクセスするときの通常の動作のベースラインを構築するのに役立ちます。データの流出を検出するために、ボリュームベースの異常検出結果は通常の行動ベースラインに対してすべてのアクティビティを評価します。次のメトリクスを表示するには、[異常な動作]、[確認されたボリューム (ユーザーアイデンティティ)]、および [確認されたボリューム (バケット)] セクションで [過去の動作] を選択します。

• 過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された s3-api-name API コールの数。

• 過去 24 時間に、すべての S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された s3-api-name API コールの数。

• 過去 24 時間に、影響を受ける S3 バケットに関連付けられた IAM ユーザーまたは IAM ロール (どちらが発行されたかによって異なる) によって呼び出された s3-api-name API コールの数。

RDS ログインアクティビティベースの異常

このセクションは、異常なアクターが行ったログイン試行回数の詳細について説明するものであり、ログイン試行の結果ごとにグループ分けされています。RDS Protection の検出結果タイプ はログインイベントをモニタリングして successfulLoginCount、failedLoginCount、incompleteConnectionCount などの異常なパターンがないかを確認し、異常な動作を特定します。

• successfulLoginCount— このカウンタは、異常なアクターがデータベースインスタンスに成功した接続（ログイン属性の正しい組み合わせ）の合計を表します。ログイン属性には、ユーザー名、パスワード、データベース名が含まれます。

• failedLoginCount— このカウンタは、データベースインスタンスへの接続を確立するために失敗した（失敗した）ログイン試行の合計を表します。これは、ユーザー名、パスワード、データベース名など、ログイン情報の組み合わせの属性が 1 つ以上、正しくなかったことを示します。

• incompleteConnectionCount— このカウンタは、成功または失敗に分類できない接続試行の回数を表します。これらの接続は、データベースが応答する前に閉じられています。例えば、データベースポートは接続されているものの情報がデータベースに送信されないポートスキャンや、ログインが成功または失敗して完了する前に接続が中止された場合などです。